俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府

admin 2024年10月28日10:28:56评论162 views字数 3091阅读10分18秒阅读模式

导 

乌克兰正面临来自俄罗斯军事情报局 (GRU) 黑客的新型网络攻击,其目标是地方政府。

乌克兰计算机应急响应小组 (CERT-UA) 最近发现了与俄罗斯 GRU 有关的 APT28 或“Fancy Bear”发起的高级网络钓鱼活动。

攻击者使用一种新颖的方法,诱骗收件人直接从剪贴板执行恶意 PowerShell 命令 - 这是一种以最少的交互传递恶意软件的新技术。

模仿 Google 电子表格的链接

地方政府办公室内流传着被CERT-UA标记的电子邮件,主题为“表格替换”。这些电子邮件没有使用标准附件,而是嵌入了一个模仿 Google 电子表格的链接。

点击该链接会启动对 Google reCAPTCHA 的模仿,这是一种通过模仿网站识别机器人的画面来消除怀疑。

俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府

然而,与合法的 reCAPTCHA 提示不同,这个诱饵会执行一个看不见的操作:它将恶意的 PowerShell 命令直接复制到用户的剪贴板。

随后,指令提示用户按“Win+R”,打开命令提示符,然后按“Ctrl+V”粘贴,再按“Enter”执行。执行后,有效载荷就会启动,从而危害系统。

俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府

被木马感染的 Google reCAPTCHA 及其运行的 PowerShell 脚本。(来源:CERT-UA)

APT28 的策略表明这些组织如何利用日常任务中的熟悉动作来掩盖其意图。这种技术利用基本系统功能并利用用户对看似良性的提示(例如机器人验证)的信任。

CERT-UA 分析显示,该命令会启动下载和执行序列。它会启动恶意 HTML 应用程序“browser.hta”,然后执行 PowerShell 脚本“Browser.ps1”,该脚本旨在窃取 Chrome、Edge、Opera 和Firefox等热门浏览器的数据。

此外,它还使用 SSH 隧道进行数据泄露,允许窃取的凭证和其他敏感数据直接传输给攻击者。其中一个更令人担忧的方面是该脚本能够下载并运行 Metasploit 框架,该工具广泛用于渗透测试,但在威胁行为者中越来越受欢迎。

Fancy Bear 的武器库不断扩大

这并不是乌克兰实体第一次面临 APT28 的针对性行动。CERT-UA 在 9 月报告称,该组织利用 Roundcube 电子邮件漏洞(CVE-2023-43770) 重定向电子邮件数据。

俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府

恶意脚本在 Roundcube 漏洞利用后运行(来源:CERT-UA)

利用此漏洞,攻击者可以植入过滤器,自动将电子邮件转发到攻击者控制的地址。在这次攻击中,CERT-UA 发现至少有十个被入侵的政府电子邮件账户被用来向乌克兰国防联系人发送进一步的攻击。

在两次攻击中,APT28 均使用受感染的服务器 mail.zhblz[.]com 进行控制。

链接到该服务器的 IP(203.161.50[.]145)在之前的活动中出现过,这表明 APT28 的运营基础设施正在不断改进,以逃避检测,同时保持攻击的连续性。

随着 APT28 的持续活动,CERT-UA 建议政府机构警惕日益增多的针对性鱼叉式网络钓鱼活动,这些活动旨在利用用户信任和日常任务。

新闻链接:

https://thecyberexpress.com/google-recaptcha-trojanized-by-russian-hackers/

俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府

今日安全资讯速递

APT事件

Advanced Persistent Threat

俄罗斯黑客利用“I’m not a Robot ”reCAPTCHA 木马病毒攻击乌克兰政府

https://thecyberexpress.com/google-recaptcha-trojanized-by-russian-hackers/

CERT-UA 在最近针对乌克兰实体的攻击中识别出恶意 RDP 文件

https://thehackernews.com/2024/10/cert-ua-identifies-malicious-rdp-files.html

HOMESTEEL 恶意软件成为乌克兰的最新网络威胁

https://thecyberexpress.com/homesteel-malware-emerges-in-ukraine/

AWS 查获俄罗斯黑客组织 APT29 使用的域名

https://www.securityweek.com/aws-seizes-domains-used-by-russias-apt29/

一般威胁事件

General Threat Incidents

黑客组织 TeamTNT 发起新的云攻击以进行加密货币挖矿

https://thehackernews.com/2024/10/notorious-hacker-group-teamtnt-launches.html

Fog 勒索软件瞄准 SonicWall VPN,企图入侵企业网络

https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/

美国政府可能因加密货币黑客攻击损失 2000 万美元

https://cybernews.com/crypto/us-government-hack-millions-lost/

联合健康集团称黑客影响了 1 亿美国人

https://cybernews.com/news/united-health-hack-impacts-hundred-million-americans/

SonicWall 防火墙是传播勒索软件活动的常见接入点

https://www.cybersecuritydive.com/news/ransomware-sonicwall-firewalls/731036/

“Windows Downdate”攻击:黑客降级 Windows 以利用已修补的漏洞

https://hackread.com/hackers-downgrade-windows-exploit-patched-flaws/

漏洞事件

Vulnerability Incidents

Nvidia 修补 Windows、Linux 图形驱动程序中的高严重性漏洞

https://www.securityweek.com/nvidia-patches-high-severity-flaws-in-windows-linux-graphics-drivers/

思科发布紧急修复程序,修复 ASA 和 FTD 软件中遭主动攻击的漏洞

https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html

西门子和施耐德电气产品中发现严重漏洞

https://thecyberexpress.com/cyble-ics-vulnerability-report/

研究人员发现 Wi-Fi 联盟测试套件中存在命令注入漏洞

https://thehackernews.com/2024/10/researchers-discover-command-injection.html

新的 Windows 驱动程序签名绕过允许安装内核 rootkit

https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/

俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):俄罗斯黑客利用“I’m not a Robot ”reCAPTCHA 木马病毒攻击乌克兰政府

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月28日10:28:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯黑客利用I’m not a Robot reCAPTCHA 木马病毒攻击乌克兰政府https://cn-sec.com/archives/3322446.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息